Главная и печальная ИТ-новость нового 2018 года состоит в том, что нашёлся баг в процессорах Intel, который нельзя исправить обновлением микрокода. Патчи выпустят для операционных систем и вроде можно забыть об этом, как забывали ранее обходы типа FDIV, но данный патч принесёт падение производительности от 5 до 30%. И перед всеми нами стоит один сложный вопрос - отключить защиту, а следовательно ослабить общую безопасность или получить обратно свои 30%?- отключить защиту, а следовательно ослабить общую безопасность или получить обратно свои 30%?
Патч внёс лично Линус Торвальдс и он уже в ядре с версии Linux 4.15-rc6. Чтобы нам всем выбор был сложнее, легендарная Фороникс уже провела тесты и получила падение производительности в районе 17-18%.
В очень важный файл для любого линуксоида под названием kernel-parameters.txt уже внесли правки, которые будут управлять поведением Kernel Page Table Isolation (PTI).
Это параметр nopti
nopti [X86-64] Disable kernel page table isolation
И pti=значение
pti= [X86_64] Control user/kernel address space isolation: on - enable off - disable auto - default setting
Ошибка целиком и полностью затрагивает только лишь продукцию Intel, но AMD, хоть её это не касается и не затрагивает от слова совсем, накрыло бедой из-за того, что патч включён в операционных системах, если процессор там не Intel. Очень надеюсь, что разработчики найдут красивое решение, чтобы пользователи компьютеров с AMD не делали лишних телодвижений. А вот владельцам Intel машинок нужно будет задуматься - выключать или оставить включённой PTI?
Источник: Авторские статьи об OpenSource

3 комментария:
kernel-parameters.txt находится здесь:
/usr/share/doc/kernel-версия/Documentation/kernel-parameters.txt
оригинальный текст с kernel.org :
pti= [X86_64] Control Page Table Isolation of user and
kernel address spaces. Disabling this feature
removes hardening, but improves performance of
system calls and interrupts.
on - unconditionally enable
off - unconditionally disable
auto - kernel detects whether your CPU model is
vulnerable to issues that PTI mitigates
Not specifying this option is equivalent to pti=auto.
nopti [X86_64]
Equivalent to pti=off
https://www.kernel.org/doc/Documentation/admin-guide/kernel-parameters.txt
Отправить комментарий